Cyber risk resources
What Are The Goals of Incident Response?

インシデント対応の目標は何ですか?

インシデント対応 (IR) は、サイバー セキュリティ インシデントを管理するための体系的なアプローチです。 IR の主な目的は、サイバー攻撃の影響を最小限に抑え、迅速な回復を提供し、組織のビジネス中断による損失を制限することです。

サイバー侵害が発生した場合、インシデント対応は、社内のセキュリティ オペレーション ユニットまたは外部委託された Blackpanda のようなインシデント対応会社を通じて、専門家によって実行されます。

当社のインシデント対応スペシャリストのような専門家は、さまざまな種類のセキュリティ インシデント、サイバー脅威、およびデータ侵害に対処するように訓練されています。インシデント対応方法論の主な目標は、サイバー侵害の期間とコストを特定、封じ込め、根絶し、最小限に抑えることです。

インシデント対応の管理フレームワークとは?

サイバー セキュリティ分野のソート リーダーは、サイバー侵害が発生した場合にインシデント対応者を導くための業界標準の参照ポイントとして機能するフレームワークを確立しました。

これらのフレームワークには、次のものがあります。

  1. 米国国立標準技術研究所 (NIST) フレームワーク
  2. システム管理、監査、ネットワーク、およびセキュリティ (SANS) フレームワーク
  3. 観察、方向付け、決定、行動 (OODA) ループ

各参照フレームワークには異なる用語がありますが、迅速に対応し、脅威を制限/根絶し、ビジネス中断による損失を最小限に抑えるという、インシデント対応の同じ基本的な目標に対処するのに役立ちます。

何よりもまず、侵害やインシデントが実際に発生したのか、それとも偽陽性だったのかを判断し、それに応じて文書化することが重要です。次に、インシデントの原因を特定し、将来のインシデントの影響を最小限に抑えることが重要です。最後に、インシデント対応チームは、得られた教訓を適用してプロセスを改善するように組織を導く必要があります。

組織のセキュリティ体制を改善し、徹底的なインシデント対応計画を確実にすることは、すべてのインシデント対応フレームワークの核心です。違法行為を起訴することは決して明示的に言及されることはありませんが、是正の考慮事項に常に含まれ、管理者、スタッフ、および適切なクライアントに状況と対応を常に通知します.

NIST フレームワーク

NIST 研究所のサイバー セキュリティ フレームワークは、インシデント対応の 5 つのコア機能を特定しています。

  1. 識別:これには、物理​​的およびソフトウェア資産、組織のビジネス環境、確立されたサイバーセキュリティ ポリシー、資産の脆弱性、内部および外部の組織リソースに対する脅威、およびリスクを評価するためのリスク対応活動の識別が含まれます。
  2. 保護:これには、アイデンティティ管理とアクセス制御の保護の実装が含まれ、役割ベースおよび特権ユーザーのトレーニングを含むセキュリティ意識向上トレーニングを通じてスタッフに力を与えます。また、データ セキュリティ保護のベスト プラクティスを確立し、情報システムと資産の保護を維持および管理するためのプロセスと手順を実装することも含まれます。
  3. 検出:潜在的なサイバー セキュリティ インシデントを早期に検出することが重要です。このステップは、潜在的な影響を理解して、異常とイベントを確実に検出することを目的としています。
  4. 対応:このステップでは、インシデント対応計画の迅速な実施と実行を中心に、イベント中およびイベント後に社内外の利害関係者とのコミュニケーションを管理します。さらに、効果的な対応と復旧活動のサポートを確保するためには、インシデントの進行に合わせて継続的に分析することが重要です。これには、フォレンジック分析、インシデントの影響の判断、緩和が含まれます。
  5. 回復:回復はインシデント対応の最終目標です。これには、得られた教訓と既存の戦略の見直しに基づく改善の実施、および通常どおりのビジネスを回復するための内部および外部のコミュニケーションとの調整が含まれます。

SANS フレームワーク

SANS Institute は、インシデント対応計画に含める必要がある 6 つのフェーズを示しています。

  1. 準備:サイバーセキュリティ インシデントが発生した場合に対処できるように、IR チームとすべての関係者をトレーニングし、装備を整えます。モニタリング ツールの導入や IR 計画の立案は、準備の例です。
  2. 識別:特定のイベントをセキュリティ インシデントと見なすことができるかどうかを判断および限定し、関連するシステム、デバイス、およびエンドポイントの全範囲を識別します。
  3. 封じ込め:範囲内のすべてのシステムにわたってインシデントを封じ込め、データの損失と証拠の破壊を防ぐために損害を制限します。
  4. 根絶:攻撃の根本原因を特定し、影響を受けるエンドポイントを削除またはパッチを適用して、影響を受けるシステムへの影響を軽減します。
  5. 復旧:破損した要素を削除した後、このフェーズでは、影響を受けたシステムが安全に運用環境に戻され、脅威が残っていないことを確認します。
  6. 得られた教訓:最後の最も重要なフェーズには、インシデント中に取られたすべてのアクションからのすべての文書化要件の完了、対応作業の分析と評価の実施が含まれ、将来の推奨事項を提供します。

OODA フレームワーク

最後に、OODA (Observe, Orient, Decide, and Act) ループは、米空軍の軍事戦略家 John Boyd によって開発されました。 OODA ループは、リアルタイム環境でのインシデント処理に取り組むために、サイバー インシデント対応に適用されることがよくあります。

  1. 観察:継続的なセキュリティ監視は、異常なネットワーク/システム動作の特定に役立ちます。監視の目標は、ログ分析、SIEM および IDS アラート、ネットワーク監視、脆弱性分析、サービス/アプリケーション パフォーマンス監視によって達成されます。
  2. オリエント:これは、インシデントのトリアージ、脅威インテリジェンス、現在の状況に関する認識、およびセキュリティ研究を通じて、組織のサイバー脅威の状況を評価することに焦点を当てています。
  3. 決定:観察とコンテキストに基づいて、最小限のダウンタイムと最速のシステム リカバリを提供するアクション プランを決定することは、迅速なインシデント対応の基本的な目標です。
  4. 行動:フォレンジック分析ツール、システム バックアップ、データ回復ツール、セキュリティ意識向上トレーニング ツールとプログラム、パッチ管理のおかげで、インシデント対応チームは修復、回復を実行し、将来の使用のために学んだ教訓を文書化する必要があります。